PyPI (Python Package Index) katalogoan, ezkutuko kriptomoneta meatzaritzarako kodea barne hartzen duten hainbat pakete identifikatu dira. Arazoak zeuden maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib eta learninglib paketeetan, eta horien izenak liburutegi ezagunen ortografian (matplotlib) antzekoak izateko aukeratu ziren erabiltzaileak idazterakoan akats bat egingo zuelakoan eta. ezberdintasunak nabaritu (typesquatting). Paketeak apirilean argitaratu ziren nedog123 kontuarekin eta guztira 5 mila aldiz deskargatu ziren bi hilabetetan zehar.
Kode gaiztoa maratlib liburutegian jarri zen, beste pakete batzuetan mendekotasun moduan erabiltzen zena. Kode gaiztoa ezkutatu egin zen jabedun lausotze-mekanismo bat erabiliz, utilitate estandarrek detektatu ez zutena, eta paketeen instalazioan exekutatu zen setup.py build script-a exekutatuz exekutatu zen. Setup.py-tik, GitHub-etik deskargatu zen eta bash script-a aza.sh abiarazi zen, eta, aldi berean, Ubqminer edo T-Rex kriptomoneta meatzaritza aplikazioak deskargatu eta abiarazi zituen.
Iturria: opennet.ru